La Agencia Española de Protección de Datos (AEPD) ha emitido recientemente una advertencia clara: puede actuar desde ya frente a sistemas de inteligencia artificial (IA) que empleen datos personales, incluso antes de la plena entrada en vigor del Reglamento (UE) 2024/1689 sobre IA (RIA). Esta afirmación, lejos de ser retórica, tiene un fundamento jurídico sólido: la AEPD continúa ejerciendo sus competencias como autoridad de protección de datos y, como tal, puede supervisar, investigar y sancionar tratamientos de datos que vulneren el Reglamento General de Protección de Datos (RGPD), aunque estos se lleven a cabo mediante tecnologías automatizadas o algorítmicas de última generación.
La novedad más relevante anunciada por la AEPD radica en que a partir del próximo 2 de agosto de 2025 comenzará a aplicarse el régimen sancionador relativo a los sistemas de IA expresamente prohibidos. Entre ellos se encuentran los sistemas de identificación biométrica remota en tiempo real en espacios públicos con fines de control generalizado, los sistemas de categorización biométrica por creencias o características protegidas, así como aquellos orientados a la puntuación social de las personas. La autoridad española ha recordado que, sin perjuicio de la futura designación formal como “autoridad supervisora de IA” a través de la Ley nacional de IA, ya cuenta con potestades sancionadoras plenas cuando se vean comprometidos derechos fundamentales en tratamientos automatizados.
Desde la óptica empresarial, este anuncio impone una necesidad inmediata de adaptación. No se trata únicamente de cumplir, en abstracto, con la normativa europea en ciernes, sino de asumir desde ya que la implementación de sistemas de IA debe someterse a un análisis de impacto riguroso, especialmente cuando estos tratan datos personales o inciden sobre derechos como la intimidad, la no discriminación o la protección de datos. Los responsables y encargados del tratamiento no pueden escudarse en la falta de desarrollo legislativo nacional, dado que el RGPD, como norma de aplicación directa, sigue plenamente vigente y dota a las autoridades de protección de datos de competencias suficientes para intervenir frente a riesgos derivados de la automatización.
La AEPD ha advertido, además, que reforzará sus capacidades institucionales para asumir estas nuevas funciones. Esto implica la necesidad de dotarse de más medios técnicos, humanos y presupuestarios, pero también una adaptación estratégica en términos de formación, cooperación internacional y vigilancia tecnológica. El mensaje es inequívoco: la supervisión de la IA no será meramente declarativa, sino efectiva, con especial atención a los sistemas de riesgo elevado o prohibido que entren en funcionamiento sin las garantías previstas por la normativa.
En definitiva, el escenario regulatorio de la IA se está consolidando con rapidez. Aunque el Reglamento de IA establece un calendario progresivo de entrada en vigor, la protección de derechos fundamentales no admite dilaciones. El enfoque anticipado de la AEPD marca un punto de inflexión: estamos ante una etapa de transición en la que el marco de protección de datos y el nuevo régimen de gobernanza algorítmica deben convivir y reforzarse mutuamente. La responsabilidad proactiva, el principio de legalidad tecnológica y la tutela efectiva de los derechos digitales se convierten así en pilares esenciales del Derecho administrativo y constitucional en la era algorítmica.
